Jak na role v Identity Manageru CzechIdM

Role v CzechIdM rozšiřují oprávnění uživatele a udělují uživatelům přístup na koncové systémy. V CzechIdM existují standardní role a tzv. admin role. Popis čím se role liší, jak roli v CzechIdM vytvořit a následně přiřadit uživateli se dozvíte v tomto článku.

Co je to CzechIdM?

CzechIdM je nástroj pro automatizaci správy uživatelů a jejích účtů na koncových systémech. Přináší především zefektivnění firemních procesů týkajících se příchodů a odchodů zaměstnanců, resetů hesel a dalších. Dalším významným přínosem je zvýšení bezpečnosti. Toho je dosaženo díky formální definici procesů, logování operací a automatickým kontrolám (například, zda-li je uživatel stále zaměstnancem atd.). Jelikož CzechIdM uchovává informace o všech důležitých událostech (změnách) týkajcích se životního cyklu identit a účtů, je vhodným zdojem dat pro reporty. Ty také přispívají k vyšší bezpečnosti a přehlednosti celého systému.

Co jsou to role?

Role v CzechIdM rozšiřují oprávnění uživatele a udělují uživatelům přístup na koncové systémy. Kromě standardních rolí máme v CzechIdM také tzv. admin role. Pojďme si role popsat detailněji.

Role

Role přiřazují uživatelům přístup ke koncovým systémům. Přiřazením role uživateli dojde automaticky i k založení účtu tomuto uživateli na koncovém systému. Pro snažší pochopení se podívejme na obrázek níže. Obrázek v levé části je obecný. Znázorňuje stav, kdy jsou uživateli „Uživatel“ přiřazeny 2 role a to „role1“ a „role2„. Tyto role uživateli zpřístupňují systémy „System1“ a „System2„. Pravá část obrázku znázorňuje již konkrétní příklad. Uživateli „Uživatel“ jsou přiřazeny tři role: „Přístup Joomla admin„, „Přístup Joomla user“ a „Přístup do domény„. Joomla je redakční systém, který jako úložiště pro uživatelské účty využívá MySQL databázi. Přiřazením role „Přístup Joomla user“ a „Přístup Joomla admin“ uživateli „Uživatel“ dojde k založení účtu tohoto uživatele do MySQL databáze redakčního systému „Joomla„. Uživateli bude založen uživatelský účet s administrátorským oprávněním. Uživatel se tak bude moci ihned po přiřazení role přihlásit do administračního rozhraní i do uživatelského rozhraní redakčního systému. Role „Přístup do domény“ představuje roli, která přiřazuje uživateli přístup do domény. Uživatelské účty se v tomto příkladě ukládají do LDAP databáze. Přiřazením role „Přístup do domény“ uživateli „Uživatel“ opět dojde k založení účtu. V tomto případě se bude jednat o založení v LDAP systému. Uživatel se ihned po přiřazení role bude moci přihlásit do počítačové domény pod svým vlastním účtem.  

Admin role

Admin role uživatelům udělují oprávnění schvalovat a provádět operace v CzechIdM, které uživatel se standadními právy nemá právo provádět. Jedná se například o správu uživatelských účtů, zakládání přístupů do systémů, operace s rolemi (přiřazení role uživateli atd.), operace s organizační strukturou, změny konfigurace, změny e-mailových šablon atd.

Jak v CzechIdM vytvořit novou roli?

Po přihlášení do administrační části CzechIdM klikneme na záložku menu Role a dále v pravém podmenu klikneme na Nová role. Zobrazí se nám formulář pro vytvoření nové role.

Formulář vyplníme. Do pole název zadáme libovolný název vytvářené role, v našem případě MySQL role. Další pole jsou nepovinná. V tomto případě jsme vyplnili také pole poznámka, kam jsme přidali poznámku Založí účet v MySQL databázi. Nyní klikneme na záložku Schémata zdrojů.

V seznamu všech schémat na pravé straně vidíme schémata všech vytvořených systémů, v našem případě se jedná o jeden systém MySQL se schématem Default. Systém přiřadíme k roli kliknutím na odkaz přidat.

Klikneme na tlačítko Uložit.

Zobrazí se nám informační hláška, v tomto případě je to hláška Role MySQL role byla uložena.

V další části tohoto článku si ukážeme jak roli uživateli přiřadit.

Přiřazení role uživateli

Nyní si na příkladu ukážeme přiřazení role uživatele. Přiřazením role může dojít například k založení uživatelského účtu na koncovém systému, definici práv uživatele v rámcí CzechIdM atd. Níže přiřadíme uživateli roli s názvem MySQL role. Jak už název napovídá, jedná se o roli, která uživateli vytvoří účet v koncovém systému (MySQL databázi). Po přihlášení do administrační části CzechIdM klikneme na záložku menu Uživatelé.

 

Rozhodli jsme se roli přiřadit uživateli john.doe. Klikneme na odkaz editovat v příslušném řádku a dále přejdeme na záložku Uživatelské role a kontrolované organizace. V zobrazené tabulce klikneme na tlačítko přiřadit roli.

Uživateli přiřadíme roli MySQL role. Ve zobrazeném formuláři klikneme na tlačítko přidat v příslušném řádku a formulář uzavřeme.

Role byla k uživateli přiřazena, nyní je potřeba změny uložit kliknutím na tlačítko uložit.

Zobrazí se nám informační hláška, v našem případě Uživatel john.doe byl uložen (bez změny hesla). Tím jsme uživateli úspěšně přiřadili roli a vytvořili mu účet na koncovém systému.

Otestování role

Nyní můžeme funkci role jednoduše otestovat. Uživateli john.doe byla přiřazena role MySQL role, zobrazíme si seznam všech uživatelských účtů na koncovém systému. Na obrázku níže vidíme, že na koncovém systému (v našem případě v MySQL databázi) se nachází jeden uživatelský účet a to právě účet uživatele john.doe

Jelikož koncový systém v našem příkladu představuje jednoduchá tabulka v MySQL databázi, můžeme si její obsah zkusit vypsat. Z výpisu vidíme, že tabulka obsahuje jeden řádek, který představuje uživatelský účet uživatele john.doe.

mysql> select * from users;
+----------+-------+----------+
| login | jmeno | prijmeni |
+----------+-------+----------+
| john.doe | John | Doe |
+----------+-------+----------+

Závěrem

Cílem tohoto článku bylo představit Vám role a práci s rolemi v identity manageru CzechIdM. V dalším článku si ukážeme jak CzechIdM dokáže řešit situace, kdy je potřeba přiřazení role nejdříve schválit. Pokud máte jakýkoliv dotaz, rádi Vám odpovíme na e-mailové adrese info@bcvsolutions.eu